Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM
<a name="securityhub-findings-viewing"></a>

In AWS Security Hub CSPM ist ein *Befund* eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Security Hub CSPM generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.

Sie können den Verlauf und andere Details einzelner Ergebnisse auf der Security Hub CSPM-Konsole oder programmgesteuert mit der Security Hub CSPM-API oder dem überprüfen. AWS CLI

Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, zeigt die Security Hub CSPM-Konsole ein Ergebnisfenster an, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster umfasst verschiedene Menüs und Registerkarten zur Überprüfung bestimmter Details eines Ergebnisses.

**Menü „Aktionen“**  
In diesem Menü können Sie die vollständige JSON-Datei eines Befundes überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nur eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um [den Workflow-Status eines Ergebnisses festzulegen](findings-workflow-status.md) oder [ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden](findings-custom-action.md) EventBridge.

**Menü „Untersuchen“**  
In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.

Registerkarte **Overview** (Übersicht)  
Diese Registerkarte enthält eine Zusammenfassung eines Ergebnisses. Sie können beispielsweise ermitteln, wann ein Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist und aus welcher Quelle das Ergebnis stammt. Bei Kontrollergebnissen werden auf dieser Registerkarte auch der Name der zugehörigen AWS Config Regel und ein Link zu Anleitungen zur Problembehebung in der Security Hub CSPM-Dokumentation angezeigt.  
Im **Ressourcen-Snapshot** auf der Registerkarte **Übersicht** können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Bei einigen Ressourcen umfasst dies die Option „**Ressource öffnen**“, die direkt zu einer betroffenen Ressource auf der entsprechenden AWS-Service Konsole führt. In der Momentaufnahme des **Verlaufs** werden bis zu zwei Änderungen an dem Ergebnis angezeigt, die an dem letzten Tag vorgenommen wurden, für den der Verlauf aufgezeichnet wird. Wenn Sie beispielsweise gestern eine Änderung und heute eine weitere vorgenommen haben, zeigt der Snapshot die Änderung von heute. Um frühere Einträge zu überprüfen, wechseln Sie zur Registerkarte **Verlauf**.  
Die Zeile **Konformität** wird erweitert, um weitere Details anzuzeigen. Wenn ein Steuerelement beispielsweise Parameter enthält, können Sie die Parameterwerte überprüfen, die Security Hub CSPM derzeit bei der Durchführung von Sicherheitsprüfungen für das Steuerelement verwendet.

**Registerkarte „Ressourcen“**  
Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole überprüfen. Wenn Sie nicht der Besitzer einer Ressource sind, wird auf dieser Registerkarte die AWS-Konto ID des Besitzers angezeigt.  
In der Zeile **Details** werden ressourcenspezifische Details zu einem Ergebnis angezeigt. Sie zeigt den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)Abschnitt des Ergebnisses im JSON-Format.  
In der Zeile „**Tags**“ werden Tag-Schlüssel und -Werte angezeigt, die den Ressourcen zugewiesen sind, die an einem Befund beteiligt sind. Ressourcen, die [vom GetResources Betrieb der AWS -Ressourcengruppen Tagging-API unterstützt](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) werden, können markiert werden. Security Hub CSPM ruft diesen Vorgang mithilfe einer [dienstbezogenen Rolle bei](using-service-linked-roles.md) der Verarbeitung neuer oder aktualisierter Ergebnisse auf und ruft die Ressourcen-Tags ab, wenn das `Resource.Id` Feld AWS Security Finding Format (ASFF) mit dem ARN einer Ressource gefüllt ist. Security Hub CSPM ignoriert ungültige Ressourcen. IDs Weitere Informationen zur Aufnahme von Ressourcen-Tags in die Ergebnisse finden Sie unter. [Tags (Markierungen)](asff-resources-attributes.md#asff-resources-tags)

**Registerkarte „Verlauf“**  
Auf dieser Registerkarte wird der Verlauf eines Befundes nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es bietet eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches ASFF-Feld geändert wurde, wann die Änderung vorgenommen wurde und von welchem Benutzer. Auf jeder Seite der Registerkarte werden bis zu 20 Änderungen angezeigt. Neuere Änderungen werden zuerst angezeigt.  
Bei aktiven Ergebnissen ist die Fundhistorie für bis zu 90 Tage verfügbar. Für archivierte Ergebnisse ist die Fundhistorie für bis zu 30 Tage verfügbar. Der Suchverlauf umfasst Änderungen, die manuell oder automatisch durch die [CSPM-Automatisierungsregeln von Security Hub](automation-rules.md) vorgenommen wurden. Änderungen an Zeitstempelfeldern der obersten Ebene, wie z. B. den Feldern und, sind nicht enthalten. `CreatedAt` `UpdatedAt`  
Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, bezieht sich der Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.

**Registerkarte „Bedrohung“**  
Diese Registerkarte enthält Daten von [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), und [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html)Objekten der ASFF, einschließlich der Art der Bedrohung und ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.

**Registerkarte Sicherheitslücken**  
Auf dieser Registerkarte werden Daten aus dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)Objekt des ASFF angezeigt, einschließlich Informationen darüber, ob es im Zusammenhang mit einem Befund Exploits oder verfügbare Fixes gibt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon Inspector haben.

Die Zeilen auf jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie beispielsweise den Bereich für ein Ergebnis öffnen, das den Workflow-Status **Benachrichtigt** hat, können Sie die Filteroption neben der Zeile **Workflow-Status** auswählen. Wenn Sie **Alle Ergebnisse mit diesem Wert anzeigen** wählen, filtert Security Hub CSPM die Ergebnistabelle und zeigt nur Ergebnisse mit demselben Workflow-Status an.

## Details und Verlauf der Ergebnisse überprüfen
<a name="finding-view-details-console"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub CSPM zu überprüfen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)

------
#### [ Security Hub CSPM console ]

**Einzelheiten und Verlauf der Ergebnisse überprüfen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:
   + Wählen Sie im Navigationsbereich **Findings** aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.
   + Wählen Sie im Navigationsbereich ** Insights** aus. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
   + Wählen Sie im Navigationsbereich **Integrationen** aus. Wählen **Sie Ergebnisse anzeigen** für eine Integration aus.
   + Wählen Sie im Navigationsbereich **Controls** aus.

1. Wählen Sie ein Ergebnis aus. Im Ergebnisfenster werden die Details des Ergebnisses angezeigt.

1. Führen Sie im Ergebnisfenster einen der folgenden Schritte aus:
   + Wählen Sie eine Registerkarte, um spezifische Details zum Ergebnis zu überprüfen.
   + Um Maßnahmen gegen das Ergebnis zu ergreifen, wählen Sie eine Option aus dem Menü **Aktionen** aus.
   + Um den Befund in Amazon Detective zu **untersuchen, wählen Sie eine Option Untersuchen**.

**Anmerkung**  
Wenn Sie sich mit einem Mitgliedskonto integrieren AWS Organizations und dort angemeldet sind, enthält das Ergebnisfenster den Kontonamen. Für Mitgliedskonten, die manuell statt über Organizations eingeladen werden, enthält das Suchfeld nur die Konto-ID.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API, oder wenn Sie die verwenden AWS CLI, führen Sie den Befehl aus. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) Sie können einen oder mehrere Werte für den `Filters` Parameter angeben, um die abzurufenden Ergebnisse einzugrenzen.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den `MaxResults` Parameter verwenden, um die Ergebnisse auf eine bestimmte Zahl zu beschränken, und den `NextToken` Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den `SortCriteria` Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Mit dem folgenden AWS CLI Befehl werden beispielsweise die Ergebnisse abgerufen, die den angegebenen Filterkriterien entsprechen, und die Ergebnisse werden in absteigender Reihenfolge nach dem `LastObservedAt` Feld sortiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Verwenden Sie den Vorgang, um den Verlauf der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html)Ergebnisse zu überprüfen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)Befehl aus. Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den `Id` Feldern `ProductArn` und. Informationen zu diesen Feldern finden Sie unter [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Jede Anfrage kann den Verlauf für nur einen Befund abrufen.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der Verlauf für das angegebene Ergebnis abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Verwenden Sie das cmdlet `Get-SHUBFinding`. Füllen Sie optional den `Filter` Parameter aus, um die abzurufenden Ergebnisse einzugrenzen.

Das folgende Cmdlet ruft beispielsweise die Ergebnisse ab, die den angegebenen Filtern entsprechen.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**Anmerkung**  
Wenn Sie Ergebnisse nach `CompanyName` oder filtern`ProductName`, verwendet Security Hub CSPM die Werte, die Teil des `ProductFields` ASFF-Objekts sind. Security Hub CSPM verwendet nicht die Felder der obersten Ebene `CompanyName` und. `ProductName`